Специалист безопасности Google Project Zero Иван Фратрик рекомендует пользователям Zoom обновить клиенты приложения до версии 5.10.0, чтобы применить исправления ряда уязвимостей.
Отмечается, что наименее опасная «дыра» в безопасности приложения получила 5,9 баллов, а самая опасная — 8,1 балл. Благодаря им хакер может добиться даже подключения Zoom к вредоносному серверу и загрузки потенциально опасного обновления.
«Для успешной атаки даже не нужно взаимодействовать с пользователем напрямую. Злоумышленнику достаточно просто иметь возможность отправлять сообщения жертве по протоколу XMPP в чате Zoom», – сказал Фратрик.
В опубликованном на прошлой неделе бюллетене безопасности Zoom сообщила, что исследователь также нашел уязвимость, позволяющую отправлять cookie-файлы пользовательской сессии на домен, не принадлежащий компании. Эта уязвимость позволяла злоумышленникам проводить спуфинг-атаки.
